Недавно компания Cyjax провела расследование сложной крупномасштабной фишинговой кампании, которая использует репутацию международных, надежных брендов и нацелена на предприятия различных вертикалей, включая розничную торговлю, банковское дело, путешествия, фармацевтику, туристическую отрасль и энергетику.
Triada Trojan
Cyjax отслеживает угрожающих субъектов, стоящих за этой кампанией, как Fangxiao, группу, которая, по нашим оценкам, с высокой степенью уверенности базируется в Китае и мотивирована на получение прибыли. Обнаружили более 42 000 уникальных доменов, контролируемых Fangxiao, используемых с 2019 года, и их масштабы продолжают расти. Операторы кампании используют довольно типичные приманки: одним из особенно подходящих примеров является то, как они пытались использовать беспокойство по поводу пандемии COVID-19.
Fanxgiao использует различные стратегии для сохранения анонимности: большая часть ее инфраструктуры защищена CloudFlare, а доменные имена регулярно и быстро меняются: только за один день в октябре 2022 года группа использовала более 300 новых уникальных доменов.
Пользователи попадают на подконтрольный Fangxiao-сайт по ссылке, отправленной в сообщении WhatsApp, которое, в свою очередь, направляет их на целевой домен, выдающий себя за известный, надежный бренд: в настоящее время имитируется более 400 организаций, и это число продолжает расти. Среди пострадавших компаний - Emirates, сингапурский Shopee, Unilever, индонезийская Indomie, Coca-Cola, McDonald's и Knorr.
Затем жертвы перенаправляются на основной домен опроса. Когда они нажимают на ссылку, их отправляют через серию рекламных сайтов в один из множества постоянно меняющихся пунктов назначения. Нажатие на кнопку "Завершить регистрацию" с пользовательским агентом Android иногда приводит к загрузке вредоносной программы Triada. Поскольку жертвы втянуты в аферу, стремятся получить свое "вознаграждение", а сайт предлагает им загрузить приложение, это, вероятно, привело к значительному числу заражений.
Исследование включало поиск на Shodan для деанонимизации некоторых доменов, что позволило нам найти IP-адреса и обойти некоторые ограничения Cloudflare; затем смогли определить IP-адрес, на котором располагался сайт Fangxiao, работающий в сети как минимум с 2020 года. При переходе на этот сервис увидели страницу, написанную на мандаринском языке. Кроме того, анализ TLS-сертификатов Fangxiao дал интересное представление о поведении группы, что еще больше подтверждает нашу уверенность в том, что она базируется в Китае. Однако использование WhatsApp предполагает, что она действует за пределами Китая, поскольку эта служба обмена сообщениями запрещена Коммунистической партией Китая.
Из этого исследования должно быть ясно, что преступные действия Fangxiao, как и всех других групп киберугроз, осуществляются с помощью интернет-инфраструктуры. Как отмечалось выше, они используют различные стратегии, чтобы скрыть свою личность, например, защиту, предоставляемую CloudFlare. Все используем одни и те же платформы. Трудно представить, как можно эффективно и справедливо разрешить эту ситуацию, но, безусловно, это то, что стоит рассмотреть.
